수동으로 계정을 만드는 것은 고통스럽습니다. 이메일, 비밀번호 및 기본 정보를 설정하는 데 5분을 소비하지 않고 앱의 서비스에 액세스하고 싶을 뿐입니다. 그래서 인터넷에서 "Facebook으로 로그인" 및 "Google로 로그인" 버튼이 보편화되었습니다.
사용자는 계정을 훨씬 쉽게 생성할 수 있기 때문에 이 연합 로그인 기술을 좋아하고 웹사이트/앱은 더 많은 사용자가 계정에 가입할 수 있기 때문에 이 기술을 좋아합니다. Google, Facebook, Twitter, Microsoft, LinkedIn, Github, WeChat, VKontakte, Weibo 등을 사용하여 계정을 만들 수 있으므로 이러한 서비스 중 하나를 사용했을 가능성이 있지만 좋은 생각인지 잠시 궁금하기도 합니다. 네, 편리하지만 보안과 관련하여 절충점이 있으며 개인 정보 보호에 관한 한 본질적으로 일방 통행입니다.
소셜 로그인은 어떻게 작동합니까?
모든 시스템이 동일하게 작동하는 것은 아니지만 기본 프로세스는 상당히 보편적입니다. 대부분의 타사 로그인 서비스는 OpenID 및 OAuth 프로토콜의 일부 조합을 사용합니다. OpenID는 사용자 인증(Facebook에 로그인하면 사용하려는 사이트에 대한 귀하의 신원 확인)을 처리하는 반면 OAuth는 다른 사이트에서 귀하의 데이터(이름, 나이, 관심사, 친구 등)에 액세스하는 방법을 제어합니다.
소셜 로그인 프로세스에는 세 가지 주요 참여자가 있습니다.
- 앱 또는 사이트에 대한 액세스를 요청하는 사용자(당신입니다!)
- 사용자가 액세스하려는 앱 또는 사이트
- 신원을 확인하고 데이터에 대한 액세스를 제어하는 승인자(Facebook, Google 등)
일반적인 소셜 로그인은 다음과 같이 발생합니다.
- 사용자가 "____로 로그인" 버튼을 눌렀습니다.
- 앱이 사용자에게 권한 부여자의 사이트에 로그인하도록 요청하는 링크를 엽니다. 링크에는 승인자에게 요청하는 사이트를 알려주는 정보가 포함되어 있습니다.
- 사용자는 승인자의 사이트에 사용자 이름과 비밀번호를 입력합니다. 즉, 앱은 귀하의 정보를 절대 볼 수 없습니다.
- 승인자는 일회용 코드를 생성하여 앱으로 보냅니다.
- 앱은 Authorizer의 API에 대한 액세스 요청과 함께 이 코드를 Authorizer에게 보냅니다.
- 승인자는 코드의 유효성을 검사하고 앱이 승인자에게 특정 사용자 정보를 요청할 수 있도록 하는 토큰(일반적으로 시간 제한 있음)을 앱에 발급합니다.
Security Pro:소셜 로그인은 이메일 비밀번호 로그인보다 더 안전합니다.
소셜 로그인은 이를 관리하는 회사만큼 안전합니다. 소셜 로그인은 세계에서 가장 큰 기술 회사 중 하나라는 점을 감안할 때 "상당히 좋은" 범주에 속합니다. Facebook과 Google이 좌우로 해킹당하는 것을 볼 수 없습니다. 주로 많은 관심을 갖고 있기 때문입니다. 사이버 보안에 대해 알고 일반 소매 체인보다 훨씬 더 많은 투자를 하십시오.
연합 로그인을 사용하는 경우 계정을 만드는 사이트는 실제로 사용자 이름과 비밀번호에 액세스하지 못합니다. 즉, 아무도 귀하의 계정을 도용할 수 없습니다(일부 관련 정보는 얻을 수 있음).
또한 모든 곳에 비밀번호를 입력하지 않고 있으며 비밀번호를 꽤 자주 재사용하는 경향이 있다는 점을 감안할 때 이는 좋은 일입니다. 어쨌든 우리는 최선의 비밀번호 관행을 따르지 않고 있을 것입니다. 따라서 우리가 나쁜 보안을 덜 퍼뜨릴수록 더 좋습니다.
보안 문제:소셜 로그인이 다운되면 계정도 다운됩니다.
Facebook과 Google이 그렇다면 해킹을 당했거나 누군가 귀하의 계정에 침입했습니까? 두 회사 모두 과거에 데이터 문제가 있었고(Cambridge Analytica, Google+) LinkedIn은 직접적인 해킹을 당했기 때문에 여기에서 빅 테크는 실제로 100% 실적을 가지고 있지 않습니다.
귀하의 소셜 미디어 로그인이 있는 누군가가 귀하가 소셜 미디어를 사용하여 로그인한 모든 앱과 사이트에서 귀하인 것처럼 가장할 수 있습니까? 기본적으로 그렇습니다. 시스템 전체의 보안 침해, 취약한 암호, Facebook에 로그인하기만 기다리는 컴퓨터의 맬웨어 등 로그인 자격 증명을 가진 사람은 누구나 다른 앱에서 사용자를 가장할 수 있습니다. 이렇게 하면 소셜 로그인이 단일 실패 지점이 되어 승인 계정이 침해될 경우 도미노 효과가 발생할 수 있습니다.
이것은 많은 사람들이 우리의 소셜 미디어 계정에 보안을 유지하고 있다는 것을 의미합니다. 페이스북, 구글, 트위터는 그렇게 하기 위해 열심히 노력하고 있지만, 그들이 끝까지 가더라도 그들이 할 수 있는 일은 당신의 비밀번호가 123456789이고(강력한 비밀번호를 위해 이 팁을 확인하세요) 당신의 계정을 계속 로그 상태로 유지하는 것뿐입니다. 공유 또는 물리적으로 접근 가능한 장치에서. 소셜 로그인을 사용하는 경우 액세스할 수 있는 모든 계정의 키처럼 취급해야 합니다.
개인정보 보호 전문가
사용자에게 개인 정보 보호 혜택이 실제로 없기 때문에 이것은 짧은 섹션이 될 것입니다. 소셜 로그인은 요청하는 사람에게 데이터를 파이어호스할 뿐만 아니라, 이는 예상되는 최소값이지만 이메일/ 비밀번호 콤보.
개인 정보 보호 단점:모두가 귀하에 대해 더 많이 알게 됩니다.
사용 중인 서비스에 따라 소셜 프로필에서 가져올 수 있는 데이터 앱을 어느 정도 제어할 수 있습니다. 하지만 의도한 것보다 더 많은 것을 제공하기 쉽고 앱은 대부분의 사용자가 기본적으로 "예"로 설정되어 있을 것이라는 점을 감안할 때 원하는 모든 것을 요청할 수 있습니다. 친구, 위치, 게시물 기록, 관심 분야 및 기타 개인 정보는 내가 모르는 사이에 쉽게 스크랩될 수 있습니다.
다른 한편으로, 로그인 서비스를 제공하는 대부분의 회사는 귀하에 대한 더 많은 데이터를 수집하는 데 매우 관심이 있음을 기억하십시오. 그들은 당신이 어떤 앱을 사용하고 있는지, 얼마나 자주 사용하는지, 앱에서 하는 일에 대한 보다 세부적인 정보를 알고 싶어하며, 로그인을 위해 앱을 사용하는 것은 본질적으로 해당 정보를 그들에게 직접 제공하는 것입니다. Facebook과 Google이 로그인 서비스를 사용하는 앱에서 정확히 얼마나 많은 데이터를 얻는지는 분명하지 않지만, 앱에서 수행하는 작업에 대해 잠재적으로 많이 알고 있는 회사가 마음에 들지 않는다면 연결하지 않는 것이 가장 좋습니다. 해당 회사에 계정을 등록하세요.
그래서 소셜 로그인을 사용해야 합니까?
소셜 로그인은 많은 경우에 더 안전할 수 있습니다. 특히 기본 계정을 매우 단단히 잠그는 데 주의를 기울이고 앱이나 사이트가 최고의 사이버 보안을 갖추고 있는지 확신할 수 없는 경우에는 더욱 그렇습니다. 여러 사이트에서 재사용할 수 있는 비밀번호를 포기하지 않을 것이기 때문에 소셜 로그인을 사용하여 스케치 앱이나 사이트에 로그인하는 것이 실제로 더 안전합니다. 그럼에도 불구하고 보안이 잘 된 서비스에서 잠재적으로 민감한 정보가 포함된 계정을 만드는 경우 강력한 이메일/비밀번호 조합이 가장 좋습니다.
프라이버시에 관해서는 개인의 결정입니다. 앱이 필요한 것보다 더 많은 정보를 제공하는 것을 원하지 않는다면 Facebook으로 로그인하지 마십시오. 이는 다른 방향으로도 동일하게 적용됩니다. 제3자가 귀하에 대한 추가 데이터를 수집하는 데 동의하지 않는 한 제3자 권한 부여자를 사용하지 마십시오.